Punto informatico Network

Canali
20080920133348_1439100889_20080920133318_1523523280_Untitled.png

Analisi del comportamento di un file con ThreatExpert

03/09/2008
- A cura di
Sicurezza - Grazie a un servizio online di nome ThreatExpert, possiamo analizzare il comportamento di un file senza doverlo eseguire.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

analisi (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 389 voti

Se non aspetti altro di vedere quali operazioni vengono compiute da un file subito dopo la sua esecuzione, ma hai paura di provare il file sulla tua pelle, puoi ricorrere a ThreatExpert.

ThreatExpert è un servizio online gratuito che permette di caricare un file eseguibile, che può essere eventualmente anche compresso in un archivio, di dimensione inferiore ai 5 MegaByte.

ThreatExpert_1.gif

Per inviare un file, è necessario specificare un indirizzo e-mail al quale, dopo che il file sarà stato analizzato sarà inviata una notifica per il report generato dal servizio via e-mail.

Appena inviamo il presunto file infetto, esso viene eseguito in un sistema remoto protetto, e lo stesso sistema tiene traccia dei cambiamenti effettuati da prima a dopo l'esecuzione del file. Quando suppone che i cambiamenti che il file eseguibile dovrebbe apportare, siano terminati, procede alla creazione del report. Un link del report verrà poi spedito all'e-mail specificata in fase di inoltro. Di solito, l'analisi di un file non richiede più di 2-3 minuti.

Le informazioni che vengono rilasciate, e che è possibile leggere nel report sono:

  • Data e ora di invio del sample e il tempo impiegato dal servizio per analizzare il file, hash MD5 del file, dimensione in byte, e Alias assegnati al sample da parte di alcuni software antivirus.
  • File (Anche nascosti), Alternate Data Stream e cartelle aggiunte, modificate ed/o eliminate.
  • Processi (Anche nascosti), moduli, servizi e driver aggiunti o modificati in memoria.
  • Chiavi e valori (Anche nascosti) aggiunti, eliminati e/o modificati.
  • Traffico in uscita rilevato.
  • Analisi euristica che permette di scoprire capacità del file di terminare processi inerenti la sicurezza, dettagli sulla sua replicazione e su eventuali tecniche di keylogging.
  • Porte aperte, nazione di origine e API di Windows chiamate dal sample.
  • Traffico SMTP generato, vale a dire eventuali e-mail inviate, con dettagli circa il mittente, destinatari/io, oggetto del messaggio, allegati e testo del messaggio.

Ci tengo a specificare, che i file eseguibili che richiedono un intervento manuale, come l'installer di un software, non possono praticamente essere analizzati, in quanto il servizio mostrerà solamente l'immagine apparsa eseguendo il file, ma non le eventuali modifiche derivanti dalla sua installazione.

Di seguito riporto un'immagine di esempio di un report generato dal servizio. Il file che avevo inviato era il file di installazione della nuova variante del Trojan Zlob:

ThreatExpert_2.JPG

Analisi di un file sano

Ma cosa succede se spediamo a ThreatExpert un file sano, non infetto? Beh, vediamolo nell'immagine qui sotto:

ThreatExpert_4.JPG

Il file inviato è il file explorer.exe, l'esplora risorse di Windows. Come potete vedere, oltre alla creazione del processo in memoria a seguito della sua esecuzione, ThreatExpert non può identificare operazioni maligne.

Pagina successiva
ThreatExpert Sumbission Applet
Pagine
  1. Analisi del comportamento di un file con ThreatExpert
  2. ThreatExpert Sumbission Applet

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.45 sec.
    •  | Utenti conn.: 104
    •  | Revisione 2.0.1
    •  | Numero query: 18
    •  | Tempo totale query: 0.31